- Texte visé : Proposition de loi contre les fraudes aux moyens de paiement scripturaux, n° 884
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des finances, de l'économie générale et du contrôle budgétaire
Après l’alinéa 9, insérer les deux alinéas suivants :
« Tout manquement à l’interdiction mentionnée au précédent alinéa est sanctionné d’une amende administrative de 3 000 € par compte, puis de 15 000 € par compte en cas de récidive. Les amendes prévues au présent alinéa sont prononcées par la Commission nationale de l’informatique et des libertés.
« En cas de manquements répétés de la part d’un prestataire de services de paiement, la Commission nationale de l’informatique et des libertés, après consultation de la Banque de France, définit une période pendant laquelle le prestataire de services de paiement n’est plus autorisé à participer au dispositif. »
Par cet amendement, le groupe LFI-NFP proposent d’adopter une échelle de sanctions afin de dissuader les agents de la Banque de France et des prestataires de paiement d’opérer une fuite de données personnelles.
La création de ce fichier, qui devrait permettre le rejet de virements à destination de comptes frauduleux, confie aux prestataires de service de paiement, et donc à des acteurs privés, la possibilité de renseigner et surtout d’obtenir des données privées.
Ces données ont une valeur : elles pourraient parfaitement être revendues à des acteurs peu scrupuleux. A titre d’exemple, un malfaiteur sera tenté d’acheter les informations contenues dans le fichier afin d’observer les éléments ayant permis la qualification de ses comptes comme frauduleux, afin de ne pas répéter les mêmes erreurs. Plus largement, le risque de fuites de données fait peser un fort risque sur les libertés individuelles.
Si cet article prévoit bien l’interdiction pour les prestataires de services de paiement et pour la Banque de France de transmettre des extraits du fichier, cette interdiction n’est assortie d’aucune sanction.
En l’absence de sanction, les acteurs privés, surtout en situation de position dominante, ne respectent la loi que lorsque cela les arrange. Nous en avons eu l’exemple le plus flagrant à l’automne dernier : le Gouvernement Barnier a déposé le Projet de loi de finances pour 2025 une dizaine de jours après le premier mardi d’octobre, la date butoir prévue par la Loi organique n° 2001‑692 du 1 août 2001 relative aux lois de finances. En l’absence de sanctions ou d’implications en cas de non-respect de cette obligation, cette violation de la loi n’a entraîné aucune conséquence. Dans un pays où l’exécutif peut ne pas respecter lui-même une loi organique, il est très hypothétique de s’imaginer que les prestataires de services de paiement se plieront à des obligations, si se soustraire à ces obligations n’est suivi d’aucune sanction.
Afin de sécuriser l’effectivité des dispositions de cet article, nous proposons donc de mettre en place un barème simple d’amendes administratives de 3 000 € pour un premier manquement, puis de 15 000 € en cas de récidive. Dans le cas où un prestataire de paiement diffuserait à plusieurs reprises des informations privées, signe d’une volonté manifeste de créer des fuites de données privées, la CNIL pourra mettre un terme à sa participation au dispositif, mettant de fait un terme à cette pratique.